Skip to content

Reso pubblico un database di dati personali raccolti dal team di Emerald. Prime considerazioni

20 May 2010

Alcune persone in queste ultime ore mi hanno chiesto delucidazioni su una notizia pubblicata sull’Alphaville Herald riguardo alla diffusione di un database di nomi e indirizzi IP di utenti di Second Life. Innanzitutto alcune considerazioni necessarie sull’Herald – per poi passare all’analisi della notizia da una fonte più diretta.

Le notizie dell’Herald

Non ho mai prestato ciecamente fede all’Alphaville Herald, noto precedentemente come The Second Life Herald, per via del suo taglio deliberatamente da tabloid scandalistico. Vi sono dietro un paio di persone piuttosto interessanti (e Linden Lab ha assunto pochi mesi fa Mark Wallace, che in passato scrisse più volte sull’Herald) ma non costituisce me una fonte di informazioni affidabile.

Gli articoli dell’Herald sono quasi sempre scritti in modo da suscitare il maggior numero di polemiche possibile. Frequentemente hanno pubblicato dati e conversazioni personali, in spregio alla privacy delle persone coinvolte. Dati di questo tipo possono naturalmente costituire una chiave fondamentale per capire la notizia di cui si parla. Ma ammesso e non concesso che le informazioni rivelate dall’Herald siano sempre originali, complete e veritiere, ho spesso trovato fuorviante il modo in cui le contestualizzano e interpretano.

Il comunicato del team di Emerald

Detto questo, mi concentrerei sul post pubblicato nel blog del sito ufficiale di Emerald, Regarding the concerns over the database compromise…, scritto da Phox ModularSystems.

L’articolo conferma che uno degli sviluppatori di Emerald ha raccolto per mesi e archiviato nome SL e indirizzo IP dei visitatori del portale di registrazione web di Emerald, della sim Emerald Point, e di altre regioni per un tempo più breve, e che un altro sviluppatore ha in seguito copiato illecitamente questi dati per poi renderli pubblici sui circuiti di file-sharing.

Aspetti tecnici e precauzioni

Secondo Phox ModularSystems, i dati raccolti e “rubati” non includono password degli utenti coinvolti, né nomi RL.

Tuttavia dagli indirizzi IP si possono ricavare informazioni geografiche anche precise relative alla località da cui si connettono le persone, e dall’associazione con i nomi utente è possibile determinare gli alt account usati.

Dal punto di vista tecnico, in Second Life questo tipo di indicizzazione è assolutamente possibile – ed è verosimile che non sia questo l’unico caso in cui essa avviene nell’ecosistema di questo mondo virtuale. Si tratta di un’azione semplicissima, addirittura banale, nel caso delle visite al portale web; in modo analogo, per quanto riguarda la sua implementazione in-world, tramite i Land Media di Second Life è possibile raccogliere questi dati per tutti i visitatori che abbiano i Media attivi nel proprio viewer.

Consiglio: tenete i Media disabilitati al di fuori delle land di cui non vi fidate, e se usate il Viewer 2, prima di caricarli controllate gli indirizzi trasmessi dalla land in cui vi trovate tramite il menu a discesa Più (More) che appare posizionando il mouse sul tasto Play in alto a destra.

Considerazioni

Lo sviluppatore responsabile della raccolta di dati non viene nominato, né si accenna a provvedimenti nei suoi confronti – si può supporre sia tuttora nel team di Emerald. L’unica menzione di un ban è riferita all’altro malicious developer, anch’esso rimasto anonimo, che è entrato abusivamente in possesso dei dati raccolti e che ha in seguito messo in atto la distribuzione di questi dati personali.

Phox esprime a nome del team di Emerald una considerazione piuttosto ingenua – troppo ingenua per essere accettabile: si ammette cioè “a failure on our part to take into consideration that there are really malicious individuals out there”, in altri termini “non avevamo considerato che ci sono persone davvero cattive in giro”.

L’articolo non esprime giudizi sull’attività di indicizzazione segreta degli utenti, che era stata progettata per un sistema anti griefers: l’unico errore riconosciuto dal team di Emerald in questa vicenda è quello di non aver saputo proteggere adeguatamente l’accesso ai propri database.

Linden Lab potrebbe pensarla diversamente. Se lo scambio di email pubblicato dall’Alphaville Herald è autentico, Soft Linden aveva scritto al riguardo in uno scambio di e-mail: I’m disappointed to see that the IP addresses are being retained. I’ll let the appropriate Lindens know – (“noto con disappunto la conservazione degli indirizzi IP. Ne parlerò con chi di dovere”).

Advertisements
2 Comments
  1. Wintermute Rhapsody permalink
    20 May 2010 20:25

    Ho usato Emerald fino a pochi giorni fa, quando ho scoperto parte della situazione da te descritta. Il mio pensiero è stato: per quale motivo avrebbero dovuto immagazzinare gli indirizzi IP degli utenti di Emerald e poi confrontarli per scorpire gli Alt Account? E perchè, peggio ancora, risalire a dati reali come ad esempio la locazione geografica? Non ne ho trovato nessuno valido, a meno di voler pensare che i suddetti utenti siano dei potenziali utilizzatori di viewer con funzioni di copybot e volersi tutelare preventivamente vista l’ampia base di utenza di Emerald.
    Comunque sia, non mi è piaciuto scoprire dell’esistenza di questa operazione segreta, né di constatare personalmente nel canale ufficiale del viewer che gli sviluppatori hanno la possibilità di determinare quale versione di Emerald stia usando una persona.
    Tutta una serie di pratiche tutto sommato non condotte alla luce del sole, e si sa in questi casi si fà presto a pensare male…
    Ho perso fiducia nel gruppo di sviluppo di Emerald, passo definitivamente a Kirsten’s Viewer.

  2. P.C. permalink
    21 May 2010 08:43

    Personalmente ho usato e uso tutt’ora Emerald (e non consiglio nè sconsiglio l’uso, ognuno deve ragionare con la propria testa) perchè sinceramente questo tipo di raccolta dati è sempre stato presente nel web. Basti pensare alle statistiche delle visite dei siti web, sono leggermente più anonime visto che non vengono riportati nomi (che in questo caso specifico sono di avatar e non reali), ma la sostanza finale è la stessa.

    Timestamp – IP – Geolocation – Browser utilizzato – Pagina d’ingresso – Pagina d’uscita – Durata della visita.

    Penso che il database in questione fosse uno di quelli usati per il “famigerato”, discusso e discutibile CDS.

Comments are closed.